Ngày 24 tháng 4 năm 2023Ravie LakshmananGián điệp mạng
Theo những phát hiện mới từ Kaspersky, kẻ đe dọa nói tiếng Nga đằng sau một cửa hậu được gọi là Tomirs chủ yếu tập trung vào việc thu thập thông tin tình báo ở Trung Á.
Các nhà nghiên cứu bảo mật Pierre Delcher và Ivan Kwiatkowski cho biết trong một phân tích được công bố hôm nay: “Mưu đồ cuối cùng của Tomiris dường như là thường xuyên đánh cắp các tài liệu nội bộ. “Tác nhân đe dọa nhắm mục tiêu chính phủ và các tổ chức ngoại giao trong CIS.”
Đánh giá mới nhất của công ty an ninh mạng Nga dựa trên ba chiến dịch tấn công mới do nhóm tin tặc thực hiện từ năm 2021 đến 2023.
Tomirs lần đầu tiên được đưa ra ánh sáng vào tháng 9 năm 2021 khi Kaspersky nhấn mạnh các mối liên hệ tiềm năng của nó với Nobelium (còn gọi là APT29, Cozy Bear hoặc Midnight Blizzard), nhóm quốc gia Nga đứng sau cuộc tấn công chuỗi cung ứng SolarWinds.
Những điểm tương đồng cũng đã được phát hiện giữa backdoor và một dòng phần mềm độc hại khác có tên là Kazuar, được quy cho nhóm Turla (còn gọi là Krypton, Secret Blizzard, Venomous Bear hoặc Uroburos).
Các cuộc tấn công lừa đảo trực tuyến do nhóm thực hiện đã tận dụng một “bộ công cụ đa ngôn ngữ” bao gồm nhiều bộ cấy ghép “đầu đốt” có độ tinh vi thấp được mã hóa bằng các ngôn ngữ lập trình khác nhau và được triển khai nhiều lần để chống lại cùng một mục tiêu.
Bên cạnh việc sử dụng các công cụ tấn công nguồn mở hoặc có sẵn trên thị trường, kho phần mềm độc hại tùy chỉnh được nhóm sử dụng thuộc một trong ba loại: trình tải xuống, cửa hậu và kẻ đánh cắp thông tin –
truyền hình – Một cửa hậu Python sử dụng Telegram làm kênh ra lệnh và kiểm soát (C2).
roopy – Trình đánh cắp tệp dựa trên Pascal được thiết kế để thu hút các tệp quan tâm cứ sau 40-80 phút và trích xuất chúng đến một máy chủ từ xa.
JLORAT – Trình đánh cắp tệp được viết bằng Rust thu thập thông tin hệ thống, chạy các lệnh do máy chủ C2 đưa ra, tải lên và tải xuống tệp cũng như chụp ảnh màn hình.
Cuộc điều tra của Kaspersky về các cuộc tấn công đã xác định thêm các điểm trùng lặp với cụm Turla do Mandiant thuộc sở hữu của Google theo dõi dưới tên UNC4210, phát hiện ra rằng bộ cấy QUIETCANARY (còn gọi là TunnusSched) đã được triển khai chống lại mục tiêu chính phủ ở CIS bằng Telemiris.
Các nhà nghiên cứu giải thích: “Chính xác hơn, vào khoảng 05:40 UTC vào ngày 13 tháng 9 năm 2022, một nhà điều hành đã cố gắng triển khai một số bộ cấy Tomiris đã biết qua Telemiris: đầu tiên là trình tải Python Meterpreter, sau đó là JLORAT và Roopy”.
“Những nỗ lực này đã bị cản trở bởi các sản phẩm bảo mật, khiến kẻ tấn công phải thực hiện nhiều lần thử, từ nhiều vị trí khác nhau trên hệ thống tệp. Tất cả những nỗ lực này đều thất bại. Sau một giờ tạm dừng, nhà điều hành đã thử lại vào lúc 07:19 UTC, điều này thời gian sử dụng mẫu TunnusSched/QUIETCANARY. Mẫu TunnusSched cũng bị chặn.”
Điều đó nói rằng, bất chấp mối quan hệ tiềm năng giữa hai nhóm, Tomiris được cho là tách biệt với Turla do sự khác biệt về mục tiêu và thủ công của họ, một lần nữa làm tăng khả năng hoạt động cờ giả.
Mặt khác, cũng có khả năng cao là Turla và Tomiris hợp tác trong các hoạt động được chọn hoặc cả hai bên đều dựa vào một nhà cung cấp phần mềm chung, như được minh họa bằng việc các cơ quan tình báo quân sự Nga sử dụng các công cụ do một nhà thầu CNTT có trụ sở tại Moscow có tên là NTC cung cấp. Vulkan.
Các nhà nghiên cứu cho biết: “Nhìn chung, Tomiris là một diễn viên rất nhanh nhẹn và quyết đoán, cởi mở với thử nghiệm”, đồng thời cho biết thêm “có một hình thức hợp tác có chủ ý giữa Tomiris và Turla.”
